PTT評價

[Vtub] VSPO對個資流出事件的報告

看板C_Chat標題[Vtub] VSPO對個資流出事件的報告作者
stevenchiang
(RF)
時間推噓59 推:59 噓:0 →:89

https://vspo.jp/news/news20240625-2/

https://i.imgur.com/2nqNoTe.jpeg

https://i.imgur.com/Pvr1zr3.jpeg

chatgpt翻譯

根據最近(2024/6/25 22:00)由「ぶいすぽっ!」官方帳號公佈的消息更新,我們在此通知目前的情況。我們深刻道歉,對於受影響者、相關方面以及一直支持「ぶいすぽっ!」的粉絲們帶來的擔憂。

根據我們的調查,我們發現在我們集團使用的Google雲端服務「Google Drive」上,關於「ぶいすぽっ!JP オーディション」的申請者Google表單的回答內容,已經可以被第三方通過該表單的「編輯用URL」進行查看,這一情況於2024/6/25 17:15確認。

然而,需要指出的是,這些編輯用URL並非在官方的面向公眾的オーディション網站上公開。我們認為這些URL可能是以某種方式外洩的。我們目前正在進行訪問歷史記錄的調查,同時也無法排除其他集團內的其他信息在同一途徑泄露的可能性。由於存在有意的泄露或非法訪問的可能性,我們將持續謹慎進行調查。

我們深知應該儘快向受影響者道歉並聯絡的重要性,但由於上述情況,請您稍等片刻。

此外,由於這起事件的調查,我們認為在集團內的其他公司也可能發生類似的信息外洩,我們將同步進行謹慎調查。更多詳情請參考以下連結:

https://www.bravegroup.co.jp/news/6359/

我們將盡快採取必要措施應對此事。有關通知和聯絡方式,我們將統一由我們的母公司株式会社Brave group進行通知和聯絡。

希望您能理解,並感謝您的耐心等待。

----------------------------------------------

bg那篇公告看來洩漏的不只VSPO這邊,其他bg子公司加起來共超過1萬多筆資料洩漏(VSPO就7000)

而且洩漏期間大概都是2024/6/4晚上到2024/6/25 17:50這段時間

洩漏範圍包括:
・氏名
・お住いの都道府県(ただし、誤って住所まで入力されていた方については住所)
・電話番号
・生年月日
・使用SNS
・志望動機など

基本上能找到人的個資都公開了

例外有提到6月18日11:23和2024年6月25日16:28,在VSPO推特都有人私訊提醒,但bg說他們等到今天爆料後才確認到真的有這兩個私訊提醒存在。

bg這個太雷了吧

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.229.13.181 (臺灣)

※ 文章網址:
https://www.ptt.cc/C_Chat/E.4zKHQmRI7RYI

a12345390606/25 21:30這是有內鬼的意思?

我覺得比較像拖字訣,然後把母公司BG拉出來處理

seer252506/25 21:30怎麼看起來像BG裡面有人外洩表單= =

OochunoO06/25 21:30內部機密居然沒開特定使用者才能瀏覽的權限..

AkiHimeTMT06/25 21:30一旦跟西岸扯上關係就沒有能全身而退的

digitai106/25 21:30但是基本上啥都沒講 重點就URL流出導致能查看

t12859506/25 21:30所以看起來不是單純的自爆耶

OochunoO06/25 21:31這隨便一個人把連結丟出去就炸了 外洩者甚至不用留下

※ 編輯: stevenchiang (36.229.13.181 臺灣), 06/25/2024 21:31:08

OochunoO06/25 21:31閱覽紀錄

s22shadowl06/25 21:31沒擋權限直接開連結就是偷懶啊

murderer201306/25 21:31有內鬼 關門 放狗

qoos062006/25 21:32感覺就內部人員有出問題 不然表單好好的沒事也不會改權

qoos062006/25 21:32

stan123106/25 21:32是個員工都能看的意思 所以抓不出來是誰洩漏

SuiseiTrain06/25 21:32團滅

macocu06/25 21:32就那種連結給了就會看到,沒給連結就不知道

ttcml06/25 21:33柯南bgm

zzro06/25 21:33大概沒有給員工google企業版帳號 所以文件也沒辦法預設成

storyo1141306/25 21:33這資安思維很失敗 後續很艱辛了

zzro06/25 21:33本企業的帳號才能觀看?

macocu06/25 21:33我怎記得之前也有類似的事件

AbukumaKai06/25 21:33公告發了 但像是沒發

uligaga06/25 21:33未來幾年內各大企業勢的新人 可能會在活動過程中飽受這

uligaga06/25 21:33份表單帶來的困擾 真是苦了這些從業者與受害者

AbukumaKai06/25 21:34問就是內鬼在搞

alan310006/25 21:34這狀況很多..aws s3之前也預設全公開 爬蟲有機會爬到

hasroten06/25 21:34有問題吧 正常要限定使用者==

digitai106/25 21:35我也記得這種東西你企業版本是預設關閉的吧?

alan310006/25 21:35有可能google doc預設有編輯用url 但沒預設非公開

A5Watamate06/25 21:35Google表單更改閱覽權限不是會通知所有共用者嗎

digitai106/25 21:35所以他不是按白名單 直接按有網址者可查看?

f173102506/25 21:36這根本大家直接隨便看 根本不用流出

alan310006/25 21:36或著有資安小白以為沒人知道url就不會被hack就隨便設定

macocu06/25 21:36你非公開還是外流阿,url跑出去了

Y199906/25 21:36流出(X)直接開放(O)

hasroten06/25 21:36照他寫法看起來是只要知道url的就能看

intela0325206/25 21:36就跟你youtube影片設定非公開一樣,只要有網址就能看

macocu06/25 21:36就跟之前YT有些影片要點連結才看得到,你查詢查不到

asd4565406/25 21:37這下精彩了 BG這下光這案子要解決都不知要花費少資源

intela0325206/25 21:37只是影片本身不會被放在推送頁面

digitai106/25 21:37恩 然後不知道誰直接把這網只給出去了

alan310006/25 21:37沒擋權限就會被爬蟲爬到 但資安小白可能就不知道

intela0325206/25 21:37這就是便宜行事的下場,不管流出的是不是故意,傷害

intela0325206/25 21:37都造成了

AbukumaKai06/25 21:37他意思就是權限設成有URL就能看 然後URL不知道被誰外

AbukumaKai06/25 21:38流 超白癡

hasroten06/25 21:38九日那個是不是也是這樣

tsubasa092206/25 21:38應該補一個BG 那個連結,是說可能不只vspo 同一天底

tsubasa092206/25 21:38下有其他也發現被編輯可能有外洩的可能性

有稍微說明了

macocu06/25 21:38這種就企業負責資料的使用者習慣會決定資料安全程度

AbukumaKai06/25 21:38日本資安 瓦拉瓦拉

chatoff06/25 21:38如果krkr講一週前有通知是真的 那Vspo這週都沒查嗎

GaoLinHua06/25 21:38會用google表單徵才的公司= =

Atima06/25 21:38一家公司把徵才資訊放到骨狗文件 恩...我以為是團購捏

※ 編輯: stevenchiang (36.229.13.181 臺灣), 06/25/2024 21:38:48

qoos062006/25 21:38google表單權限 只有作者和給協作者權限或全公開 沒有所

qoos062006/25 21:38謂給連結才能看 表單給連結能看就是設定成全公開

AbukumaKai06/25 21:38他把整個BG都拖下來 意思該不會是全公司都這樣處理吧

事實上看來是bg不只VSPO有這個狀況

ttcml06/25 21:39九日那個應該是駭客,這個字裡行間感覺在暗示內鬼

Y199906/25 21:39可能kr有講,但他們看一看覺得沒問題

AbukumaKai06/25 21:39超級白癡

uligaga06/25 21:39全部怪罪日企文化也不夠全面吧 尤其該行業首當重視資安意

uligaga06/25 21:39

digitai106/25 21:39是 我說白名單就是給協作者權限

a1207331106/25 21:39放google文件還好 但企業版可以限定只有同公司能看吧

digitai106/25 21:39你知道網址就有 那就是全公開

hasroten06/25 21:39全公司都這樣處理也太鬼故事了吧==

a1207331106/25 21:39就算給連結也沒差

storyo1141306/25 21:40用google不是問題 資安太爛還是把頂級金鑰外流

a1207331106/25 21:40省錢用免費版還給連結就無解了

digitai106/25 21:40你在協作權限狀態點進去 會有申請帳號送出通知

※ 編輯: stevenchiang (36.229.13.181 臺灣), 06/25/2024 21:40:46

digitai106/25 21:40然後作者會接收到 過了才點德進去

lim192506/25 21:41BG底下的都出事耶,還有說到確認6/18就有人來信反應

seer252506/25 21:41BG整個都有這個狀況 這樣是BG的人把URL外洩了吧

intela0325206/25 21:41除非是有內鬼去改成全公開+流出網址

storyo1141306/25 21:42這種分享對管理人很偷懶 不用在那邊被通知要追加名單

digitai106/25 21:42資 安 鬼 故 事 人家說要變第三大箱的事務所

seer252506/25 21:42不然子公司的人 能去動到母公司其他旗下公司的權限?

digitai106/25 21:42這種東西處理的向是高中期中團體報告分享

Y199906/25 21:426/18那個不會就是kr吧,剛好一週前,笑死

intela0325206/25 21:42不然單純流出RUL這件事是永遠存在的風險,就算是無意

amd735606/25 21:42這邊擺明是BG問題 只是VSPO個資最多才一堆人集火打

gox111706/25 21:42才一萬多 小事情啦

intela0325206/25 21:42本來就該用權限來防止風險

Ttei06/25 21:42很像某國人喜歡玩的盒攻擊

st108397106/25 21:43看起來就是回報給母公司等處理 不過連個別限定使用者

st108397106/25 21:43都沒也太天兵…

tsairay06/25 21:43看了一下,齁也是用google表單報名的,所以用google不是

tsairay06/25 21:44甚麼大問題

macocu06/25 21:44要嘛懶,要嘛負責的人完全沒概念

asus040806/25 21:44DM了一周沒發現 等KRKR爆出來才知道 笑死

digitai106/25 21:44用估狗從來不是問題 是你設定權限的概念

otosukisugi06/25 21:45他這不就是爆料出來了才知道出問題了

lim192506/25 21:45雖然文內沒指名不過有說今天PO文的一位是在之前有反應

killme32306/25 21:45本來就不是用google的問題啊...

qoos062006/25 21:46一定有人拿有權限的帳號 偷偷亂搞才會這樣 不然表單製作

qoos062006/25 21:46好 沒事也不會去設定全公開的權限

shadow032606/25 21:47brave groups承認一周前的確有收到推特簡訊通報,說因

※ 編輯: stevenchiang (36.229.13.181 臺灣), 06/25/2024 21:47:13

shadow032606/25 21:47為這個通報方式在他們處理上造成了延誤

hasroten06/25 21:48三小 還能推給通報的喔

shadow032606/25 21:49照公告的寫法,其中6/25通報的人應該是krkr

AbukumaKai06/25 21:49你們怎麼不用OOO來通報 害我們處理慢了^^

※ 編輯: stevenchiang (36.229.13.181 臺灣), 06/25/2024 21:49:20

yuniko98k06/25 21:49是說如果他們以前都這樣處理 現在才出事也很神奇

tsairay06/25 21:50業務擴充,人力沒跟上就容易出這種包吧

intela0325206/25 21:51出包的是BG集團,VSPO只是用同一個系統

intela0325206/25 21:51BG官網公布的那一篇比較詳細

macocu06/25 21:51推特延誤其實偏容易,但要看他們推特是不是每天上百訊息

otosukisugi06/25 21:51加起來上萬件洩露

stan123106/25 21:53推特沒有追隨 可能會被設置在垃圾訊息區內

st108397106/25 21:55看起就是負責關的以為沒什麼關了就close掉對應 要慘了

digitai106/25 21:56推特18日有接收到 說沒及時反應 就當垃圾流言了吧

st108397106/25 21:57不過限定url外流的話的確有可能是內鬼,但不限定人員

st108397106/25 21:57就是天兵了

wahaha200506/25 21:59因為BG非上市,不知道正社員多少

wahaha200506/25 21:59但是BG這兩年招的新人,比虹更多…

wahaha200506/25 21:59因為BG這兩年吸引及開了很多新團

fish733306/25 22:00熟悉的BG回來了

UzInSec06/25 22:01一周前6/18有人私訊提醒 今天才確認到私訊存在 嗯...

opman54306/25 22:05這鍋可大條了,掉的可是人資

tsairay06/25 22:07集團擴充太快,但管理體制沒跟上吧,還是用小公司的做事

tsairay06/25 22:08方式,都是方便就好

winklly06/25 22:09這種包我只能說 夕鶴

bluesheep81606/25 22:11有內鬼外流URL 再亂傳啊

LoKingSer06/25 22:12超雷,聽說這是第3大箱?

intela0325206/25 22:12就算不是內鬼還是有可能外流阿,誰知道哪個員工會

intela0325206/25 22:13腦抽把連結貼錯地方

winklly06/25 22:16一開始就不應該把連結開出來吼

digitai106/25 22:17也不說外流 你一開始就白名單模式就沒這問題啊

yuniko98k06/25 22:20我覺得這也不是單純白名單問題了 這內部管理都有問題

yuniko98k06/25 22:20只用連結就算只給員工看也很雷

LittleJade06/25 22:25有連結就能上就等於公開了啊

yumenemu61006/25 22:25幹這蠢到連當鬼故事都沒資格

yumenemu61006/25 22:25所以一星期前就有通知警告是真的嗎

Y199906/25 22:27公司說有人用推特訊息告訴他們,但沒被處理

jimmygaygay06/25 22:28我在想如果用一些比較特殊的搜尋引擎

jimmygaygay06/25 22:28是不是透過內文關鍵字就可以搜到

jimmygaygay06/25 22:28這種只要連結就能看的表單?

Oswyn06/25 22:32內部管控問題 連結換成是檔案也還是會外流

st108397106/25 22:33不可能搜到 谷歌也是每個網站都有先碰過才能建立起ind

st108397106/25 22:33ex 要能搜到的話要嘛爬蟲到要嘛外洩擴散了

crossworld06/25 22:33出這包有點誇了吧==

qoos062006/25 22:33表單是被改成全公開 這邏輯上一定是內部的問題

waitan06/25 22:55感覺有內鬼

nothingbut06/25 22:56資安鬼故事

VL100306/26 21:18能生連結不代表公開,但問題是權限設定太隨便。

VL100306/26 21:18例如這種檔案應該只能有少許的人看得到,甚至需要個別給權

VL100306/26 21:19限,假設給 HR 好了,其他理論上要鎖到拿到連結也看不了。

VL100306/26 21:20懶一點的就直接設定給組織內成員,然後就會被其他部門看到

leo12516090906/27 16:59chatgpt真的滿滿支語,以後學生記者網紅都用ai寫文

leo12516090906/27 16:59章支語警察要加班加到死了==